Alert!

IBM schließt kritische Sicherheitslücken in Cognos Analytics

In der Business-Intelligence-Software IBM Cognos Analytics könnten Angreifer unter anderem Schadcode einschleusen. Aktualisierte Software behebt die Probleme.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Aufmacher IBM Cognos Analytics-Updates schließen kritische Sicherheitslücken

(Bild: Shutterstock)

Lesezeit: 2 Min.
Von

Mit neuen Versionen dichtet IBM 45 Sicherheitslücken in der Business-Intelligence-Analysesoftware Cognos Analytics ab. Neun davon stuft der Hersteller als kritisch ein, zwölf als hohes Risiko, 21 als mittlere sowie drei als niedrige Bedrohung.

Die meisten Schwachstellen traten dabei in Dritthersteller-Komponenten auf. Die neun kritischen Lücken fanden sich etwa allesamt in FasterXML/jackson-databind und ermöglichten Angreifern, Schadcode einzuschleusen und auszuführen. Node.js steuert 14 Sicherheitslücken bei, die Angreifern unter anderem das Einschleusen von Schadcode, das Lahmlegen des Systems oder das Entwenden von Zugangsdaten erlaubten.

Lücken im mitgelieferten CKEditor hätten Angreifer dazu nutzen können, Zugangsdaten via Cookies abzugreifen oder fremden HTML-Code einzuschleusen. Mit manipulierten .tar- oder .zip-Archiven hätten sie zudem durch fehlerhafte Verarbeitung in Apache Ant einen Denial-of-Service-Angriff (DoS) ausführen können.

Durch die integrierte OpenSSL-Version, dem HTML-Parser jsoup oder beim Verarbeiten von Pfaden waren ebenfalls Denial-of-Service-Attacken möglich. Nicht genauer erläuterte Fehler hatte die mitinstallierte Java SE-Version. Weitere Details erläutert IBMs Security Bulletin zu den geschlossenen Sicherheitslücken.

Lesen Sie auch:

Betroffen sind IBM Cognos Analytics 11.2.x und 11.1.x sowie IBM Cognos PowerPlay. Administratoren sollten die fehlerbereinigten Versionen 11.2.2 respektive 11.1.7 Interims Fix 7 von Cognos Analytics oder Cognos PowerPlay 11.0.0.133 zügig herunterladen und installieren, um den potenziellen Missbrauch der zum Teil kritischen Sicherheitslücken zu unterbinden.

Nutzer von IBM Cognos Analytics on Cloud müssen hingegen nicht aktiv werden. Hier hat der Hersteller die Aktualisierungen schon selber auf den Cloud-Systemen integriert.

(dmk)